公司资讯

智鹍IT外包公司浅谈IT治理

作者:深圳卡恩斯来源:上海智鹍IT外包公司 时间:2021-01-11 13:34:29浏览量:193

     信息安全技术发展至今,各种安全组织和标准应运而生并不断完善,同时企业面临的安全风险也与日俱增且日趋复杂。组织和标准的制定往往滞后于安全风险的演变,组织需要具备先进的安全理念以适应新时代信息技术快速迭代的安全需求。讲到信息安全就不得不提到IT治理,IT治理是企业在信息时代面临的重要治理内容,进行IT治理能确保IT应用完成组织赋予它的使命,并实现组织的战略目标。IT治理的简单定义就是使参与信息化过程的各方利益最大化的制度措施。IT治理领域涉及的标准及规范众多,在IT治理的每个阶段,针对其主要标准及组织作简要介绍。

  ISO38500是有关IT治理方面的第一个国际标准,它的出台不仅标志着IT治理从概念模糊的探讨阶段进入了被大众正确认识的发展阶段,而且也标志着信息化正式进入IT治理时代。

  COBIT(ControlObjectivesforInformationandrelatedTechnology,信息及相关技术的控制目标)由ISACA(InformationSystemsAuditandControlAssociation,国际信息系统审计协会)发布并维护。COBIT是把IT处理过程与公司业务要求相连接的控制框架。从IT战略融合、IT价值交付、IT资源管理、IT风险管理、IT绩效测评这5个方面提出了具体要求,并提出了IT审计的技术方法。

  ITIL(InformationTechnologyInfrastructureLibrary,IT基础架构库)汇集了在IT服务管理方面的最佳实践,包括业务管理、服务管理、ICT(InformationandCommunicationTechnology,信息和通信技术)基础架构管理、IT服务管理规划与实施、应用管理和安全管理等6个模块。它关注IT服务的过程并考虑了使用者的核心作用,对IT的应用、管理、变更、运维等方面提出了要求,明确了每个阶段、每个环节的目标和工作流程。

  信息安全管理体系要求:ISO/IEC27001:2005系列目前应用最广泛的信息安全管理标准,适用于各种性质、各种规模的组织,如政府、银行、ICT企业、研究机构、外包服务企业、软件服务企业等。该标准偏重于安全,从组织架构、人力、安全策略、访问控制等11个方面提出了信息系统管理的要求和操作实践。该系列标准已被定为国家标准,参见GB/T220802008和GB/T220812008。

  PRINCE2(ProjectsInControlledEnvironments2)是基于过程的结构化的项目管理方法,定义每个过程的关键输入、需要执行的关键活动和特殊的输出目标。PRINCE2为包括IT项目在内的项目管理提供了通用的管理方法,内置了已在项目管理实践中被证明的最佳实践。

  ISMS(InformationSecurityManagementSystem)的全称为信息安全管理体系,起源于英国标准协会(BritishStandardsInstitution,BSI)20世纪90年代制定的英国国家标准BS7799,是系统化管理思想在信息安全领域的应用。基于国际标准ISO/IEC27001:2005的ISMS是国际上公认的先进的信息安全解决方案

  DJCP即信息系统安全等级保护认证,是我国信息安全保障的一项基本制度,是国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护的标准。等级保护根据信息系统的重要程度由低到高划分为1~5这5个等级,根据安全等级实施不同的保护策略。一般的信息系统通过3级测评就达到了合格的安全标准,之后相关机构会为通过测评的信息系统颁发安全等级保护认证证书并在公安系统为其备案。

  CSASTAR(CSASecurity,Trust&AssuranceRegistry)的全称为云安全可信与保障认证,是一项全新而有针对性的国际专业认证项目,由全球标准奠基者——英国标准协会(BSI)和国际云安全权威组织——云安全联盟(CSA)联合推出,旨在应对与云安全相关的特定问题。云安全可信与保障认证以ISO/IEC27001认证为基础,结合云控制矩阵(CCM,CloudControlMatrix)的要求,运用BSI提供的成熟度模型和评估方法,为提供和使用云计算的任何组织,从沟通和利益相关者的参与,策略、计划、流程和系统性方法,技术和能力,所有权、领导力和管理,监督和测量等5个维度,综合评估组织在云端安全管理和技术方面的能力,最终给出独立第三方外审所做的结论。

  GDPR(GeneralDataProtectionRegulation)的全称为一般数据保护条例,是一个合并的法律框架,由欧盟推出,旨在保护自然人的基本权利和自由,特别是保护个人数据的权利。这是一项强制性法律,要求企业遵守整个欧盟适用于个人数据业务的条款。GDPR取代了存在了20年的数据保护指令(95/46/EC)。该条例明确了企业对个人数据的保护要求和处罚措施,大大加强了对个人数据隐私的保护。

  随着信息网络的全球化快速发展,网络违法犯罪呈多发态势,为此各国也纷纷制定了自己的网络安全相关法律,比如我国的《中华人民共和国网络安全法》。法律法规对隐私保护的逐步完善也迫使各个企业需要加大企业信息安全的相关投入和建设,保障自身信息安全,并遵守国家法律要求。


版权保护: 本文由 深圳卡恩斯 原创,转载请保留链接: https://www.cnitzk.com/hyxw/228.html

本文关键词:IT外包公司

推荐新闻

2015-2024上海智鹍信息技术有限公司 版权所有 上海智鹍专注IT外包服务     备案号:沪ICP备18012852号-1     网站地图

上海IT外包公司-IT外包服务公司-it外包软件维护方案【上海智鹍信息】扫一扫,加好友

TEL:18201911668

400-850-8707

CAL:徐工

Q Q:22128020